Home > 전체기사
소통 장벽 없애기 위한 MS 트랜스레이터 허브, 바벨탑 될 뻔
  |  입력 : 2018-07-23 16:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 단체들의 원활한 소통 위한 플랫폼, 트랜스레이터 허브
모든 프로젝트 지우게 해주는 치명적인 취약점 발견돼


[보안뉴스 문가용 기자] 마이크로소프트의 트랜스레이터 허브(Translator Hub)에서 심각한 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 허브에서 진행되고 있는 1만 3천여 개의 프로젝트들이 전부 삭제될 수 있다고 한다.

[이미지 = iclickart]


트랜스레이터 허브는 사용자들이 자신들만의 기계 통역 시스템을 만들 수 있도록 해주는 플랫폼으로, 마이크로소프트의 트랜스레이터 텍스트 API(Translator Text API)를 사용해 각 사용자나 사용 단체의 필요에 맞는 통역 시스템을 애플리케이션이나 웹사이트 등에 구축할 수 있도록 해준다.

마이크로소프트에 의하면 트랜스레이터 허브는 기업들이 업무에 필요한 번역 시스템을 마련할 수 있도록 도울뿐만 아니라 정부 및 공무 기관이나 대학 등의 연구 기관들, 혹은 언어를 연구하는 단체들끼리 자유롭게, 어떤 언어든 상관없이 번역 시스템을 만들게 해주는 것이며, 심지어 마이크로소프트 트랜스레이터(Microsoft Translator)가 지원하지 않는 언어들도 도입될 수 있게 해주는 플랫폼이라고 한다. 따라서 언어의 장벽을 크게 낮춰주는 역할을 하고 있다고 MS는 설명한다.

이 플랫폼의 취약점을 찾아나선 건 보안 전문가 하이더 마무드(Haider Mahmood)로, 프로젝트를 삭제하라는 요청이 담긴 HTTP에 proejctid 매개변수가 포함되어 있는 걸 알아챘다. 이는 각 프로젝트마다 할당되는 고유 ID 번호가 들어가는 자리이다.

여기서 분석을 이어간 마무드는 “해당 요청에 CSRF 공격에 대한 보호장치가 없다는 것 역시 발견할 수 있었다”고 한다. “즉, 공격자가 CSRF 공격을 함으로써 정상적으로 로그인된 사용자인 것처럼 스스로를 위장할 수 있고, 사용자가 할 수 있는 모든 행동을 똑같이 할 수 있다는 뜻이 됩니다.”

실제로 공격자가 공격을 하려면 로그인 된 정상 사용자의 프로젝트 ID 번호를 알아내야 한다. “삭제 명령을 발행하기 위해서는 페이지 내에 URL 정보가 포함되어 있을 수도 있는데, 사용자가 해당 페이지에 접속하자마자 삭제 명령을 브라우저에서 전송함으로써 프로젝트를 삭제하는 게 가능해집니다.”

마무드는 여기서 멈추지 않고 분석을 계속 진행했다. 그리고 간접 객체 참조(Indirect Object Reference) 취약점을 추가로 발견했다. 이는 공격자가 HTTP 프로젝트 삭제 요청 내의 projectid 변수를 임의로 설정할 수 있게 해주는 취약점이었다. 그러므로 마이크로소프트 트랜스레이터 허브 내 모든 프로젝트를 삭제하는 게 가능하게 해주는 것이기도 했다.

“사실 이 두 번째 취약점이 반드시 필요한 것도 아닙니다. 공격자 입장에서는 0부터 13000까지 아무 숫자나 입력하거나, 전부 다 입력함으로써 허브 내 프로젝트들을 마음대로 삭제할 수 있거든요.”

마무드는 이러한 취약점을 마이크로소프트에 지난 2월 보고했다. MS는 이 보고를 접수하고 2주 후 패치를 완료했다. 또한 마무드에게 온라인 연구자 페이지(Online Research Acknowledgement)를 통해 감사의 말을 전하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)